Fale com um especialista +55 11 3141 9009

  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Português
  • Quem Somos
  • LGPD
  • Áreas de Atuação
  • Equipe
  • Imprensa
  • Opinião Jurídica
  • Contato

Consultoria jurídica

Conte conosco para adequação à LGPD

U

Sobre a LGPD

O que é e para quem vale



Materiais Exclusivos

E-books com muita informação sobre LGPD

Preciso de uma consultoria 



Dados Cast

Dados Cast: O podcast do Assis e Mendes

LGPD

Informações sobre Lei Geral de Proteção de Dados


DIREITO DIGITAL

Informações sobre Direito Digital


DIREITO EMPRESARIAL

Informações sobre Direito Empresarial

E-BOOKS PARA DOWNLOAD

b

2021

b

2020

b

2019



Anos anteriores

Fale com o Assis e Mendes

Política de segurança da informação, classificação e mapeamento de dados. A TI e seus desafios

Tecnologia

Como você sabe, o escritório Assis e Mendes tem entre suas espe­cial­i­dades a Con­formi­dade com a LGPD e Dire­ito dos Tit­u­lares:

Nós aux­il­iamos sua empre­sa na con­formi­dade com a Lei Gera de Pro­teção de Dados focan­do das bases legais para o trata­men­to de dados, revisão dos con­tratos e cumpri­men­to do Dire­ito dos Tit­u­lares. Mas sabe­mos que nos­so tra­bal­ho cobre a parte jurídi­ca da con­formi­dade com a lei.

Para a parte tec­nológ­i­ca, con­ta­mos com par­ceiros espe­cial­iza­dos em Segu­rança da Infor­mação para aten­der nos­sos clientes des­de o assess­ment até a implan­tação de fer­ra­men­tas que aux­iliem na exe­cução de tare­fas, gestão de pri­vaci­dade e segu­rança dos dados.

Por isso, con­ver­samos com o espe­cial­ista Mar­cos Fre­itas, Dire­tor de Deliv­ery e Audi­tor Líder do nos­so prin­ci­pal par­ceiro, a Lead­comm Performance&Security, para te aju­dar a enten­der quais os primeiros pas­sos que a empre­sa deve faz­er no atendi­men­to ao que rege a LGPD, a importân­cia de ter uma políti­ca de segu­rança da infor­mação e de ado­tar os proces­sos deriva­dos dela para que você pos­sa cuidar de for­ma efe­ti­va do seu negócio.

  1. Mar­cos, é bas­tante comum ouvir que é impor­tante ter políti­cas de segu­rança. Mas, de fato, para poder­mos enten­der bem e de for­ma obje­ti­va, o que são políti­cas ou políti­ca de segu­rança? E por que as empre­sas devem se pre­ocu­par com isso?

As políti­cas de segu­rança são impor­tantes, pois elas esta­b­ele­cem nas orga­ni­za­ções as dire­trizes para que todos os envolvi­dos, den­tro de suas funções e habil­i­dades, pos­sam ter respon­s­abil­i­dade com relação ao uso das infor­mações den­tro da empre­sa, como trans­fer­ên­cia, armazena­men­to e uso – quem pode acessá-la, quem não pode. Essa é a parte mais impor­tante. A infor­mação é um bem muito pre­ciso e as políti­cas garan­tem a pro­teção e uso cor­re­to dos dados. Ain­da mais hoje, com a questão da LGPD, essas regras pas­sam a ser ain­da mais impor­tante, porque ago­ra existe uma lei que esta­b­elece o dire­ito do tit­u­lar dos dados e pode acar­retar mul­tas às empre­sas quan­do há o mau uso dos dados pes­soais e sensíveis.

  • Quais são os prin­ci­pais desafios encon­tra­dos para se desen­har e imple­men­tar uma políti­ca de segurança?

Eu diria que, mes­mo hoje, as empre­sas no Brasil são pouco maduras no que­si­to segu­rança. Os riscos nor­mal­mente são muito neg­li­gen­ci­a­dos. Através da con­sul­to­ria LGPD que real­izamos pela Lead­comm, con­seguimos ver que há um despreparo de grandes orga­ni­za­ções para poder aten­der toda e qual­quer leg­is­lação que trate da segu­rança de dados. Enx­erg­amos uma dis­tân­cia entre a real­i­dade e o que de fato se dese­ja nes­sa área. Por mais que esse seja um tema trata­do há, pelo menos, mais de três décadas de for­ma inten­sa, a gente percebe pou­ca evolução nas grandes empre­sas (e nas demais também).

Out­ra questão impor­tante, que sem­pre ouvi­mos, é o dire­ciona­men­to da gestão de segu­rança de uma orga­ni­za­ção para e somente à área de TI (tec­nolo­gia da infor­mação) quan­do, na ver­dade, a segu­rança é um tema cor­po­ra­ti­vo e deve ser trata­da como tal. Além do mais, muitas infor­mações estão fora da alça­da da TI. 

  • Clas­si­fi­cação de dados – o que é isso?

Quan­do a gente fala de políti­ca de segu­rança e das boas práti­cas para o tra­to das infor­mações, é impor­tante enten­der que os dados não pos­suem os mes­mos graus de importân­cia. Den­tro de uma orga­ni­za­ção, encon­tramos vários gru­pos de infor­mações – des­de as pouco impor­tantes até as estratég­i­cas. O desafio é rotu­lar todas medi­ante esse fator.

A clas­si­fi­cação de dados é o rótu­lo que se dá a deter­mi­nadas infor­mações – a públi­ca, a con­fi­den­cial, a restri­ta – e a par­tir dessa clas­si­fi­cação esta­b­elece-se con­troles de armazena­men­to, trans­fer­ên­cia, tro­cas, for­ma de descarte, etc.

  • Fala-se bas­tante da importân­cia de clas­si­ficar os dados sen­síveis den­tro de uma empre­sa. É algo que pode ser feito internamente?

O grande desafio de clas­si­ficar dados inter­na­mente é que é pouco prováv­el que a empre­sa ten­ha um profis­sion­al ded­i­ca­do a isso e que con­si­ga com­preen­der, por exem­p­lo, a LGPD, que é muito ampla. Isso se dá pela neg­ligên­cia que ocorre há muito tem­po por parte das empre­sas em relação à segu­rança e pela defasagem de profis­sion­ais no mercado.

As empre­sas enfrentam difi­cul­dades em encon­trar profis­sion­ais da área de segu­rança, agrava­do pela entra­da da LGPD, e esse são espe­cial­iza­dos e foca­dos na TI – que é ape­nas uma das camadas da segurança.

É pre­ciso ter visão do negócio.

Com isso, é mais fácil bus­car por parceiros/terceiros com exper­tise, profis­sion­ais qual­i­fi­ca­dos e com­petên­cia para entre­gar o tra­bal­ho. Assim, a empre­sa tam­bém pode con­tin­uar foca­da no seu negó­cio (core business). 

  • Existe uma for­ma ide­al para mapear dados? Aliás, qual é a difer­ença entre clas­si­ficar dados e mapear dados?

O mapea­men­to é o entendi­men­to de onde estão os dados cap­ta­dos, uti­liza­dos e armazena­dos pela empre­sa e como são uti­liza­dos cada tipo de dado (clas­si­fi­ca­dos con­forme expli­ca­do ante­ri­or­mente). Por exem­p­lo: a LGPD tra­ta dados pes­soais e sen­síveis. O mapea­men­to irá deter­mi­nar quais as áreas da empre­sa que recebem, tratam e armazenam ess­es dados e de que for­ma o fazem.

Para mapear, é necessário con­hecer todos os proces­sos de todos os setores da empre­sa, para iden­ti­ficar onde exis­tem dados pes­soais, quais são ess­es dados, de quem, como são trata­dos e onde ficam armazenados.

A clas­si­fi­cação é o rótu­lo que aju­dará a deter­mi­nar qual a políti­ca que será segui­da para aque­le dado mapeado.

  • O mapea­men­to de dados e as políti­cas de segu­rança são questões de respon­s­abil­i­dade exclu­si­va da área de TI?

Não. A segu­rança da infor­mação é um prob­le­ma cor­po­ra­ti­vo, deve ser trata­da como tal e ser parte da estraté­gia de negó­cio da orga­ni­za­ção. É claro que a TI tem mui­ta relação com a segu­rança, prin­ci­pal­mente porque falam­os de infraestru­tu­ra, sis­temas, mon­i­tora­men­to, suporte, anális­es, etc. Mas tudo isso deve estar alin­hado à uma políti­ca ger­al de segurança.

  • Para finalizar:

O tema segu­rança é bas­tante anti­go, o pon­to é que deix­am­os a políti­ca de segu­rança da infor­mação como algo mais práti­co do que teóri­co. Encon­tramos muitas empre­sas com políti­cas escritas, mas muito dis­tante daqui­lo que é pos­sív­el ser exe­cu­ta­do na práti­ca – muitas vezes as empre­sas pos­suem dire­trizes e doc­u­men­tos escritos, mas são coisas muito dis­tantes do que podem exe­cu­tar. A políti­ca de SI tem que retratar algo que seja próx­i­mo ao dia a dia da empre­sa, caso con­trário, será mais um doc­u­men­to que vai ficar para­do na gaveta.

Muitas vezes, empre­sas copi­am políti­cas uma das out­ras, mas na práti­ca, o que foi copi­a­do não é pos­sív­el de se aplicar no dia a dia porque está muito longe da real­i­dade e dos aspec­tos cul­tur­ais da empresa. 

Cri­ar uma políti­ca de SI própria para sua empre­sa é, além de um inves­ti­men­to, uma for­ma de garan­tia de que proces­sos serão real­iza­dos da for­ma cor­re­ta e um seguro para que san­sões não sejam apli­cadas por uso incor­re­to de dados e informações.

Caso queira mais infor­mações sobre Políti­cas de Segu­rança de Infor­mações, Con­sul­to­ria LGPD ou soluções de Segu­rança de Dados, entre em con­ta­to com a Lead­comm: www.leadcomm.com.br/contato/

Categorias

  • Bots
  • Colunistas
  • Compliance
  • Coronavirus
  • Cyberbullying
  • Direito de família
  • Direito digital
  • Direito Empresarial
  • Direito Imobiliário
  • Direito tributário
  • Imprensa
  • Lei da Liberdade Econômica
  • LGPD
  • Não categorizado
  • Outros
  • Privacidade
  • Segurança da Informação
  • Sem categoria
  • Stalking
  • Tecnologia
  • Trabalhista

Inscreva-se para nossa NewsLetter

Tags

ANPD aplicação LGPD assessoria jurídica cibercrime CLT contrato contrato de trabalho contratos contrato societário crimes virtuais direito a privacidade direito digital Direito Empresarial direito trabalhista direito tributário e-commerce empreendedor empreendedorismo empresas featured GDPR impostos internet investimento lei de proteção de dados Lei Geral de Proteção de Dados lei LGPD LGPD loja virtual privacidade privacidade na internet privacidade na web privacidade online proteção de dados redes sociais segurança segurança da informação segurança digital segurança jurídica site sociedade startup startups tecnologia vazamento de dados

O escritório

  • Quem Somos
  • Advogados
  • Premiações e reconhecimento
  • Áreas de Atuação

Informações Legais

  • Política de Privacidade
  • Termos de Uso
  • Trabalhe conosco
  • Imprensa
  • Contato

Fale com um especialista

11 3141 9009
Alameda Santos, 1165
Paulista - CEP 01419-001 - SP

Redes Sociais

  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Seguir

© Assis e Mendes Advogados - Direito Digital, Empresarial e Proteção de Dados - 2020